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Vragen van het lid Voortman (GroenLinks) aan de Minister van 
Volksgezondheid, Welzijn en Sport inzake de onduidelijkheid over 
privacygevoeligheid van zorgdeclaraties (ingezonden 10 september 2015). 

Antwoord van Minister Schippers (Volksgezondheid, Welzijn en Sport) 
(ontvangen 28 oktober 2015) 

Vraag 1 

Bent u bekend met de rechtszaak tegen de Nederlandse Zorgautoriteit (NZa) 
omtrent het weigeren van het vrijgeven van zorgdeclaraties? 1 

Antwoord 1 

Ja. Er zijn op dit moment overigens twee beroepsprocedures aanhangig in 
het kader van aan de NZa gedane verzoeken om openbaarmaking van 
informatie op grond van de Wet openbaarheid van bestuur (Wob). Eén zaak 
dient bij de rechtbank Amsterdam en één zaak bij de rechtbank Den Haag. 
Beide kwesties betreffen verzoeken om openbaarmaking van, naar oordeel 
van de NZa, bedrijfsvertrouwelijke informatie of informatie op zodanig 
detailniveau dat die informatie onder omstandigheden te herleiden zou 
kunnen zijn tot individuele personen (bijvoorbeeld als deze gekoppeld zouden 
worden aan andere gegevens bestanden). Die mogelijke herleiding betekent 
dan een inbreuk op de persoonlijke levenssfeer van patiënten. De NZa is van 
opvatting dat haar de vereiste wettelijke bevoegdheid ontbreekt de gevraagde 
informatie te verstrekken. 

Het is nu eerst aan de rechter hier uitspraak over te doen. De uitspraken 
waren voorzien op respectievelijk 8 en 15 oktober 2015. Door uitstel op de 
Kamervragen had ik gehoopt in te kunnen gaan op de uitspraken. De 
uitspraak van 8 oktober is echter zes weken uitgesteld. In de navolgende 
beantwoording ga ik inhoudelijk niet nader in op de rechtszaken. Mochten de 
uitspraken daar aanleiding toe geven, zal ik u Kamer daar alsnog nader over 
informeren. 

Volledigheidshalve merk ik op dat centraal staat de gegevensverzameling in 
DIS (DBC Informatie Systeem) door de NZa. DIS was in beheer bij DBC- 
Onderhoud (DBC-O), een privaatrechtelijke organisatie, maar inmiddels zijn 
de publiekrechtelijke taken van DBC-0 overgegaan naar de NZa, waaronder 
het DIS. De NZa is bij de uitvoering van haar taken gebonden door de taken 


1 http://www.skipr.nl/actueel/id23588-nza-wil-zorgdeclaraties-niet-vrijgeven-wegens-privacy.html 
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en bevoegdheden die haar op grond van de Wet marktordening gezondheids¬ 
zorg (Wmg) zijn toegekend. Door de overgang van DIS naar de NZa is het 
gebruik van de data en de bewerking ook aan de wettelijke taken van de NZa 
gebonden. In mijn antwoord op de vragen 4 en 5 kom ik daarop nog terug. 

Vraag 2 

Kunt u uitleggen hoe het kan dat de NZa stelt dat de declaraties van 
zorgaanbieders toch tot de persoon te herleiden zijn, terwijl u eerder heeft 
verklaard dat dit niet mogelijk zou moeten zijn? 2 Wie heeft hier gelijk? Zijn 
zorgdeclaratiegegevens te herleiden tot de persoon? Indien ja, hoe verhoudt 
zich dat tot uw eerdere uitspraken waar u de Kamer uitlegde dat dit niet 
mogelijk zou zijn? Indien nee, waarom stelt de NZa dat het wel mogelijk is de 
persoon te achterhalen? 

Antwoord 2 

De declaratiegegevens die de NZa verzamelt in DIS zijn niet te herleiden tot 
de individuele patiënt, zolang ze gebruikt worden voor bewerkingen binnen 
de gesloten DIS omgeving. Het gaat in deze kwestie om het mogelijk 
koppelen van die declaratiegegevens door derden aan andere bronnen. Die 
koppeling kan er mogelijk toe leiden dat de declaratiegegevens wel tot 
individuele patiënten zijn te herleiden. Daarop heb ik in mijn antwoorden van 
8 september 2014 ook gewezen (Aanhangsel van Handelingen, 2013- 
2014, nr. 2956 3 ). In die beantwoording heb ik destijds aangegeven dat er een 
risico van privacybelasting bestaat (in lijn met wat de NZa voor de rechter 
heeft betoogd), maar dat dit risico al sinds de oprichting van DIS en tot op 
heden, continu door technische en organisatorische maatregelen wordt 
beheerst en hoe dat gebeurt. Deze maatregelen worden jaarlijks geaudit door 
een externe partij. 

Vraag 3 

De NZa spreekt op de website dat er theoretische risico's worden onderzocht, 
bent u bereid deze onderzoeken naar de Kamer te sturen? 

Antwoord 3 

Zoals ik in mijn eerdere antwoorden van 8 september 2014 ook aangaf ben ik 
mij ervan bewust dat bij welke verwerking van data dan ook, er altijd 
theoretische risico's zijn. De uitgebreide audits waaraan de DIS-database 
wordt onderworpen zien er op toe dat de technische en organisatorische 
maatregelen die worden genomen, afdoende zijn om deze risico's adequaat 
te beheersen. De NZa toetst continu of de gegevens die zij zelf publiceert, 
voldoen aan de hoge normen van veiligheid en aan de bevoegdheden die zij 
heeft op grond van de Wmg. De uitkomsten van de jaarlijkse uitgebreide 
audit zal de NZa publiceren op haar website. Zie ook mijn antwoord op vraag 
4. 

Vraag 4 

Is het College Bescherming Persoonsgegevens (CBP) op de hoogte gebracht 
van het feit dat kennelijk toch persoonsgegevens te achterhalen zijn? Wat 
betekent dit voor de systematiek van de DIS-database? Bent u bereid dit 
nader te onderzoeken? 

Antwoord 4 

Zoals ik in mijn eerdere antwoorden op 8 september 2014 heb aangegeven is 
het CBP er mee bekend dat het risico bestaat dat door koppeling met andere 
bestanden of informatie, de in DIS verzamelde informatie mogelijk tot 
individuele personen valt te herleiden. Dat risico wordt door de technische en 
organisatorische maatregelen beheerst. 

Voor de systematiek van de DIS-database betekent dit dat alleen gegevens uit 
de database aan derden mogen worden verstrekt als daar een wettelijke 
grondslag voor is, die voldoet aan de eisen die het Europees Verdrag voor de 
Rechten van de Mens (EVRM) en de Wet bescherming persoonsgegevens 
(Wbp) stellen, en die past bij de taken en bevoegdheden die de NZa heeft op 


2 Aanhangsel Handelingen, vergaderjaar 2013-2014, nr. 2956 

3 https://zoek.officielebekendmakingen.nl/ah-tk-20132014-2956.html 
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grond van de Wmg. Daarbij is met betrekking tot de bescherming van 
persoonsgegevens nog in een extra regeling voorzien, waarin per artikel 
wordt bezien welke categorie van persoonsgegevens van toepassing is 
(Regeling categorieën persoonsgegevens Wmg). Met de NZa wordt nader 
onderzocht of deze regeling nog voldoende wettelijke basis biedt voor de 
uitvoering van de taken van de NZa, waaronder het verwerken van gegevens 
uit DIS. 

Vraag 5 

Welke maatregelen zijn genomen na het ontdekken van het mogelijk toch 
herleidbaar zijn van data? Dit betekent immers dat de DIS-database bijzon¬ 
dere persoonsgegevens bevat? 

Antwoord 5 

De gegevens in DIS zijn gepseudonimiseerd. De beroepszaken waar ik naar 
heb verwezen in antwoord op vraag 1, komen voort uit het stringente beleid 
van de NZa ten aanzien van de veiligheid van de DIS-gegevens. Dat beleid 
brengt immers mee dat niet alle gegevens waar om wordt verzocht, kunnen 
worden verstrekt. De NZa levert datasets aan verzoekers zoals zorgaanbie¬ 
ders, zorgverzekeraars, koepelorganisaties en andere geïnteresseerde partijen 
en betrekt in haar toetsing het risico van een koppeling van de door de NZa 
verstrekte bestanden met de databestanden waarover verzoekers kunnen 
beschikken. 

Zoals ik in antwoord op vraag 4 al aangaf wordt met de NZa nader onder¬ 
zocht of er voor de verstrekking van (bewerkingen van) gegevens uit de 
DIS-database aan derden een wettelijke grondslag is die voldoet aan de eisen 
die de Wmg, het EVRM en de Wbp stellen. 
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